Dem Datenschutzbeauftragten fallt es häufig schwer, Datensicherheit festzustellen. Das gehört jedoch zu seinen Aufgaben, wenn er (1) die erforderlichen Datensicherheitsmaßnahmen im eigenen Unternehmen feststellt, (2) die ordnungsgemäße Anwendung der personenbezogenen DV-Programme kontrolliert und (3) sich von den Datensicherheitsmaßnahmen beim Auftragsdatenverarbeiter überzeugt. Doch was gehört dazu? Eine erste Hilfe ist die Anlage zu § 9 BDSG. Daraus haben Datenschutzbeauftragte Kurzbeschreibungen entwickelt, die die Aufgabenerfüllung belegen sollen. Doch darüber hinaus bleibt vieles im Dunkeln. Das hat seinen Grund darin, dass es eine Vielzahl von Standards gibt, über deren Relevanz sich der Datenschutzbeauftragte nicht im Klaren ist. Schnell ist man bei den BSI-Grundschutzkatalogen oder auch internationalen Standards wie der ISO/ IEC-27000-Familie angelangt. Die BSI-Kataloge sind allerdings derart umfangreich, dass man als Datenschutzbeauftragter mit diversen weiteren Aufgaben schnell aufgibt. Leichter machen es auch internationale Standards nicht, weil sie eher vorgeben, welche konkreten Unternehmensstandards inhaltlich zu schaffen sind. Der Datenschutzbeauftragte benötigt daher unbedingt ein Überblickswis- sen, um der IT oder der IT-/Unternehmenssi-cherheit vorzugeben, was zur Erfüllung des Datenschutzes an Datensicherheitsmaßnahmen im Unternehmen vorhanden sein muss. Das Werk von Müller ist besonders geeignet, sich dieses Überblickswissen anzueignen. Es ist nicht nur Nachschlagewerk für die mannigfaltigen Einzelfragen des Datenschutzbeauftragten. Die fast 700 Seiten liefern Checklisten, wie eine einfache Liste zur Einordnung von Schadensszenarien (Seite 192), eine erste Liste für kleine Unternehmen zur Frage, ob wichtige Sicherheitseckpunkte eingehalten werden (Seite 560f.), einfache, doch klare Vorgaben für Passwortvorgaben (Seite 475ff.), Hinweise zu Penetrationstests (Seite 526f.), Anforderungen an Sicherheitsberichte (Seite 530ff.) und eine Frageliste zur Bewertung des Reifegrades des Sicherheits-, Kontinuitätsund Risikomanagements (Seite 530f.). Lehrreich ist, dass Müller die verschiedenen Anforderungen aus Standards an seinem eigenen Sicherheitspyramidenmodell spiegelt. Das erleichtert das Verständnis zusätzlich. Fazit: Das Werk gehört auf den Schreibtisch des Datenschutzbeauftragten.
展开▼
